Quando o assunto são vulnerabilidades, as empresas têm corrido contra o tempo para se verem livres delas, sempre que aparecem em seus produtos. Agora, por exemplo, a Mozilla corrigiu duas vulnerabilidades de zero dia do Firefox exploradas durante a competição de hackers Pwn2Own Vancouver 2024.
Correção de vulnerabilidades no Mozilla Firefox
A Mozilla fez um trabalho incrível resolvendo duas vulnerabilidades de zero dia no navegador Firefox exploradas durante a recente competição de hackers Pwn2Own Vancouver 2024. O pesquisador Manfred Paul (Via: Security Affairs), vencedor da competição, explorou as duas vulnerabilidades, rastreadas respectivamente CVE-2024-29944 e CVE-2024-29943.
No segundo dia, Paul demonstrou um escape de sandbox do Mozilla Firefox usando um OOB Write para o RCE e um bug de função perigoso exposto. Ele ganhou $ 100.000 (cerca de R$ 498 mil) e 10 pontos Master of Pwn por este hack. Abaixo está a descrição de ambos os problemas, de acordo com o comunicado a vulnerabilidade CVE-2024-29944 afeta apenas o Desktop Firefox, não afeta as versões móveis do Firefox:
CVE-2024-29943: Um invasor conseguiu realizar uma leitura ou gravação fora dos limites em um objeto JavaScript enganando a eliminação da verificação de limites baseada em intervalo.
CVE-2024-2994 4: Um invasor conseguiu injetar um manipulador de eventos em um objeto privilegiado que permitiria a execução arbitrária de JavaScript no processo pai.
A Mozilla lançou o Firefox 124.0.1 e o Firefox ESR 115.9.1 para resolver ambos os problemas. A competição de hacking Pwn2Own Vancouver 2024 ocorreu esta semana, a Zero Day Initiative (ZDI) da Trend Micro anunciou que os participantes ganharam US$ 1.132.500 (cerca de R$ 5,64 mi) na competição de hacking Pwn2Own Vancouver 2024 por demonstrar 29 zero dias exclusivos. No primeiro dia, a equipe Synacktiv demonstrou com sucesso explorações contra um carro Tesla.
O pesquisador Manfred Paul venceu o Master of Pwn ganhando US$ 202.500 (pouco mais de R$ 1 milhão) e 25 pontos.
O Firefox
Mozilla Firefox é um navegador livre e multiplataforma desenvolvido pela Mozilla Foundation com ajuda de centenas de colaboradores. A intenção da fundação é desenvolver um navegador leve, seguro, intuitivo e altamente extensível. Baseado no componente de navegação da Mozilla Application Suite, o Firefox tornou-se o objetivo principal da Mozilla Foundation. Cerca de 40% do código do programa foi totalmente escrito por voluntários.
O Firefox destacou-se como alternativa ao Internet Explorer e reativou a chamada guerra dos navegadores. Segundo o StatCounter, atualmente cerca de 3,36% dos usuários da Internet utilizam o Firefox, sendo o quarto navegador mais utilizado no mundo, atrás do Google Chrome, do Safari e do Microsoft Edge.
